但是,制造业普遍存在 IT 和 OT 疏离的问题。分工不同导致二者之间出现巨大的认知鸿沟:IT 人员有技术知识,却不了解 OT 运营方式;OT 人员对运营很清楚,但缺乏 IT 知识。另外,在某些制造场景中,企业的很多设备使用时间过长,非常老旧,IT 的方案并不能与之匹配;OT 的一些沟通协议,或是一些特殊设备,必须有更加适合 OT 的场景,同时又要满足 IT 对 OT 的可视要求。企业顾此失彼,导致 IT 与 OT 无法很好地融合在一起。针对这些问题,思科推出了 “ IT / OT 的融合方案” 。采用了专门针对工厂,适合 OT 的防火墙 ISA3000 ,能够满足特殊的 OT 场景的安全需求。思科 Cyber Vision 可以帮助管理员快速发现并定义 OT 资产,生成实时网络通信视图,让 OT 工程师在任意位置都能够清楚地看到他们的 OT 网络在不同条件下的运行情况,更好地计划安全和生产的连续性;同时,与 IT 网络安全团队合作,通过多系统集成将 OT 的背景、理解和知识带给 IT 团队,为实现整个企业网络,包括任何用户(Any User)、任何设备(Any Device)、任何应用(Any App)、任何地点(Any Where)在内的安全目标奠定坚实的基础。另外,思科的 ISE 系统帮助客户进一步完成了 IT / OT 融合,将 IT 网络及 OT 网络的接入控制及可视统一起来。Stealthwatch 流量分析系统将 IT/OT 流量统一呈现,方便管理回溯及异常问题发现。思科 Firepower 下一代防火墙用户负责 IT / OT 的访问隔离及策略控制,这些产品同时都与 Cyber Vision 系统深度集成,形成一体化的架构方案,让任意 OT 设备的每个接入和每次访问都十分清楚。通过这种方式,IT 和 OT 加强了沟通,他们之间的知识可以相互分享,最终为企业提供完美的解决方案。
零信任安全策略是一个长期的过程,思科以 “工业网络零信任四步保护法” 保护企业资产。首先,资产发现,识别企业所有工业资产以构建正确的安全策略;其次,网络分段,隔离网络以建立安全域和可控访问通道,以避免攻击蔓延;再次,威胁检测,检测 IT 入侵和异常 OT 行为,以保持流程完整性。最后,IT / OT 集成 SOC ,全面了解安全事件以简化调查和补救措施。
思科基于 3W 战略为企业制定了具体的零信任方案,并在国内制造企业进行了实施。方案包含并覆盖:
